Chiplet 安全风险被低估

Chiplet面临的安全挑战之大令人望而生畏。

半导体生态系统充斥着小芯片的前景，但对这些小芯片或它们将被集成到的异构系统的安全性的关注要少得多。

将 SoC 分解为小芯片会显著改变网络安全威胁格局。与通常使用相同工艺技术制造的单片多功能芯片不同，小芯片可以在任何地方和任何工艺节点开发。事实上，开发异构小芯片的关键原因之一并非每个功能都受益于最新的工艺技术，也不是所有功能都可以塞进一个芯片上。但这也提高了威胁级别，并且该行业正在努力以可重复且具有成本效益的方式处理安全问题。

“其中一些是以可以负担得起的逆向工程或重新制造的方式构建的，并在小芯片中添加了一些恶意功能，因为它是一个小得多的芯片，”Rambus硅安全产品高级总监Scott Best说。它不再是一个拥有20亿个晶体管的20 x 50mm芯片。它是一百万个晶体管，它有一个非常特定的功能。世界各地都有国家资助的参与者可以克隆该功能，将其放入兼容的进程节点中，并向其添加恶意功能。现在的风险是他们以某种方式将恶意组件插入供应链，并且无意中被集成。这有点吓人，尤其是在它的做能力上。我不确定很多人是否完全理解克隆内置在后缘技术节点中的小芯片是多么容易。随着时间的推移，后缘开始意味着越来越多的事情。即使是曾经最先进的22nm，现在也落后我们三四代。它们成为非常诱人的目标，特别是如果提出这种芯片可以让对手进入更大的终端市场。

一个关键的挑战是开发具有强大可追溯性的供应链。“假设客户担心安全性是否内置于芯片中，” Siemens Digital Industries Software高级封装解决方案总监 Tony Mastroianni 说。“许多 die-to-die 接口都内置了安全性。但是对于可追溯性还有其他考虑因素，这是一个不同的问题。我们希望确保在整个设计过程中您不会受到影响，这需要涵盖从 RTL 设计到制造交付零件的所有方式。”

将多个 Chiplet 集成到一个异构封装中会导致安全漏洞以及与在设计、组装或测试期间对单个 Chiplet 的恶意修改或攻击相关的潜在风险。“此外，由于小芯片通常由不同的供应商设计和制造，因此存在恶意行为者可能破坏其中一家供应商并利用该访问权限破坏整个基于小芯片的系统的风险，”Mastroianni 说。

其中一些担忧始于SoC，但小芯片正在将它们提升到一个全新的水平。“安全问题仍然存在，但对于小芯片，它们可能更难预防，”Arteris IP产品管理高级总监Guillaume Boillet说。现在，需要协调谁在做小芯片，因为一些对策需要小芯片和软件携手合作。除此之外，对于小芯片，还有更大的攻击面，由此产生了两类问题。首先是硬件木马。在小芯片可能来自不同公司的异构系统中，一些公司会对构成小芯片的一些芯片进行逆向工程并用恶意芯片替换它的想法——这听起来像科幻小说。但这种威胁是存在的，尤其是在物联网方面，所有这些事情可能比大型系统更容易实现。

第二个问题是更广泛的攻击面，部分原因是小芯片之间的连接更容易跟踪。这就产生了中间人攻击的可能性。

其中一些取决于小芯片供应链的复杂性。英特尔、AMD 和 Marvell 等公司开发了自己的小芯片，可最大限度地减少供应链威胁。但组装和集成商业开发的小芯片的公司将面临更艰难的时期。

Synopsys高性能计算 IP 解决方案产品线高级总监 Mick Posner 表示：“如果您是一家公司，那么小芯片身份验证就不是问题。” “你已经分解了你的 SoC，你熟悉你的供应链，所以恶意小芯片进入你的供应链的可能性可能非常低。您已经创建了一个包，其中包含您的裸片和一些第三方裸片，它们需要相互通信。今天，没有围绕它的标准。UCIe 规范中提到它是未来要解决的问题。”

Chiplet市场则是另一回事。“目前，因为没有真正混合和匹配裸片，所以这真的不是问题，”Posner 说。“但很快就会了。为了减少恶意芯片进入供应链，必须进行某种形式的身份验证，现在您是一个经过身份验证的系统，如果有人试图进行强势破解，他们将包裹拆开并以某种方式访问这两个模具之间的链接怎么办？什么样的加密或保护来通过这些链接？”

其他人同意。“这种混合供应商生态系统尚不存在，即供应商提供一些可以在许多系统中重复使用的标准功能的生态系统，集成包的主要供应商从几个潜在竞争者之一购买这些功能”Synopsys 科学家 Mike Borza 说，供应商将其纳入他们的产品包。“你可以想象像系统控制器芯片和 TPN 之类的东西，以及各种各样的东西，它们都是将以这种方式集成得很好的例子，因为它们具有明确定义的功能，并且有围绕它们的协议。”

Chiplet的供应商越多，确保一切安全的难度就越大。

“你将有更多供应商参与其中，”Cadence 的航空航天和国防解决方案总监/架构师 Steve Carlson说。“你有多个小芯片，所以你可能有一个新的内插器供应商，以及整个供应链各处的新封装和测试人员。甚至在此之前，随着进入小芯片的 IP 块，也有可能出现错误。此外，芯片在安全协议以及什么是“安全使用”模型方面的互操作性也存在问题。这些事情并不总能传达清楚，所以当你将两个安全小芯片连接在一起时，可能会以一种破坏芯片的方式完成。”

图 1：为什么芯片公司希望采用小芯片

对于互连来说尤其如此。

“你已经暴露了它们之间的那些互连，以便更容易被利用，”卡尔森说。“除了这些高层次的考虑之外，还有与特洛伊木马有关的问题。你可能会生产出在材料和中介层互连方面不符合规格的产品、生产过剩、假冒产品、逆向工程、侧通道和回收各种产品。”

提高小芯片安全性的方法差异很大，但首先需要关注系统范围的安全性。

Riscure高级安全分析师 Rajesh Velegalati 表示：“系统范围的安全审查现已成为与客户数据有任何交互的任何产品开发周期中不可或缺的一部分。” “Common Criteria 和 EMVCo 等认证实体在确保这些产品符合安全标准方面也发挥着至关重要的作用。”

然而，如果这些安全审查是在设计周期的后期进行的，“即使发现了漏洞，修复它们本身也可能成为一个问题，”Velegalati 说。“如果在硬件或不可变的 ROM 代码（产品启动时执行的第一段代码）中发现漏洞，修补缓解措施将很困难，而且可能是完全不可能的。在这种情况下，发布的产品可能存在漏洞，制造商只能在产品的下一次迭代中对其进行修补。下一次迭代将取决于产品生命周期，这可能至少需要一年到几年。”

使事情复杂化的是，每个客户对安全和信任都有不同的担忧，并且有不同的方法来解决这些担忧。

Flex Logix的 CEO Geoff Tate 说：“DoD 的客户都关心安全，并且比我们更了解安全，包括加密和解密等等。”“当 FPGA 嵌入芯片内时，客户可以在 FPGA 周围设置很多安全措施。对于商业客户，人们首先从安全角度考虑使用嵌入式 FPGA，因为他们可以重新编程。因此，如果他们有一个加密算法，并且它被破坏了，他们可以重新编程加密算法，如果它是一个嵌入式FPGA。如果它是硬连线的，他们就不能。”

芯片之间安全通信的概念已经通过反窥探措施、未经授权的内存访问和其他方法进行了研究。

“这些问题已经解决，并且正在解决，”Cadence 的 Carlson 说。“过去，安全一直是每个项目的一次性测试项目。现在我们正在寻求标准化这些东西，这非常困难，因为对于国防部——无论它是否是民用系统——当某些东西被利用时，他们喜欢对数据进行分类并保密。MITRE CWE 是我们可以努力地集结点。希望这将有助于推动事情更快地朝着标准化方向发展。”

展望未来，Riscure 的 Velegalati 表示，解决此问题的最佳方法是在产品本身的设计阶段纳入安全审查。“换句话说，在硅片前发现并修复漏洞，以便在制造芯片后，希望它们不会有任何已识别的漏洞。这可能需要对开发周期本身的执行方式进行文化变革。”

有几种商业工具可用于使用静态和动态分析技术检测软件中的漏洞。

西门子的 Mastroianni 说：“安全代理的部署可以帮助确保系统保持完整性、运行以及检测和从受损事件中恢复。” “此外，确保整个供应链中小芯片组件的来源完整性和可追溯性将成为新产品和现有产品的关键要求。通过确保每个小芯片的来源和完整性都可以得到验证并追溯到其来源，识别和响应可能出现的任何安全或信任问题变得更加容易。”

另一种实现  Chiplet安全的方法是采用分层方法。

Intrinsic ID 的首席执行官 Pim Tuyls 指出了三层小芯片安全性。“一个是你说，'我们将确保每个部分都可以被识别'，并使用物理不可克隆功能 (PUF) 作为标识符。该解决方案的优点是它的重量轻。其次，我们需要更多一点。也就是说，我们需要能够相互安全通信并能够相互验证的小芯片。您可以使用对称加密来做到这一点。在这里，您在每个附加了对称加密的小芯片上实施 PUF。优点是所有这些小芯片都可以创建自己的密钥，并且可以运行密钥交换协议。您不必对每个小芯片进行编程。第三，'我们想要最高级别和最复杂的安全性。' 这在公钥基础设施 (PKI) 系统中可能很难做到。PKI 可以是我们所知的带有 RSA 或 ECC 的经典 PKI，也可以是受影响后的 PKI。从那时起，这意味着您将使系统变得更加复杂。小芯片将具有 PUF，具有非对称和对称功能，并且能够在不同小芯片之间进行安全密钥共享，以及创建不同的对称密钥集。基于此，我们将能够安全地进行通信。那是最先进的系统，也是最昂贵的系统。” 以及创建不同的对称密钥集。基于此，我们将能够安全地进行通信。那是最先进的系统，也是最昂贵的系统。 以及创建不同的对称密钥集。基于此，我们将能够安全地进行通信。那是最先进的系统，也是最昂贵的系统。

一个悬而未决的问题是小芯片安全解决方案是否会在需要时到位。

“我们有 100% 的信心，解决方案将在他们需要的时间范围内提供，”Rambus 的 Best 说。“即使我只看我们的防伪经验，我们仍然有客户向我们询问防伪解决方案。因此，防止这种情况的技术是已知的。缺点是它们都不是免费的。对于大多数商业供应商来说，5 美元芯片的制造成本要高出 10 美分。其他人会进行谈判，直到成本降低 5 美分，或者可能低于 1 美分。您可以通过非常安全的供应链构建非常安全的产品。我们绝对知道该怎么做。我们拥有这项技术，我们知道如何部署它，我们知道如何以经济高效的方式部署它。困难的只是关于我们是否真正首先解决所有安全问题的正常决定，或者“完美”是这里“好”的敌人吗？我们能不能只追求好的，看看这是否足够和经过测试？'”

其他人指出了类似的经历。“安全不是免费的”卡尔森说。“这就像保险。系统公司首当其冲。在手机和汽车，以及已经公开的黑客领域，他们必须做点什么。他们因安全相关问题而在经济上受到伤害。在他们尚未受到伤害的产品领域，他们确实没有尽其所能。他们不是什么都不做，但他们做得比他们能做得少。另一个问题是，你可能在安全上花费 1 亿美元，但仍然会被黑客入侵。没有针对该问题的单一、可靠的解决方案。黑客们真的很有创造力，每天都会想出新的疯狂的方法。”

此外，小芯片可以进行逆向工程。您如何检测小芯片是否已被篡改？Arteris 的 Boillet 说解决方案确实存在，至少来自一些供应商。“我们与他们和我们的共同客户合作，帮助他们实施这些系统，尤其是在 SoC 中，以确保正确识别小芯片，”他说。“在不同的攻击角度上，他们都有一个应对的想法，但他们也面临着自己的挑战。例如，大多数人会要求这两个小芯片实际上是携手设计的。因此，当你考虑那些中间人攻击时，可以探测到两个小芯片之间的连接，有一种方法可以通过只发送加密消息来解决这个问题。但是每次说到加密，都需要一面加密，一面解密，并且需要是同一个IP。这非常复杂，但如果是内部芯片分解（两个小芯片来自同一供应商），则可以解决这个问题。然而，如果我们开始谈论一个包含现成部件的生态系统，那么我们将需要标准化，而不仅仅是我们在电气兼容性方面拥有的一切。在进行芯片分解时，除了我们与客户进行的所有讨论之外，显而易见的是它的机械方面。机械和物理方面还没有真正解决。” 我们将需要标准化，远远超出我们在电气兼容性方面拥有的一切。在进行芯片分解时，除了我们与客户进行的所有讨论之外，显而易见的是它的机械方面。机械和物理方面还没有真正解决。 我们将需要标准化，远远超出我们在电气兼容性方面拥有的一切。在进行芯片分解时，除了我们与客户进行的所有讨论之外，显而易见的是它的机械方面。机械和物理方面还没有真正解决。

在标准方面，OCP 中有一个涵盖安全性的 CDX 工作组，而在 UCIe 中，也有一个专门负责 Chiplet安全性的工作组，但这两种情况都还处于早期阶段。Synopsys 的 Borza 指出，UCIe 大体上正在围绕 PCIe 和 CXL 合并。“这是方程式的重要组成部分，意味着他们将能够享受在 CXL 和 IDE 中完成的工作。”

此外，在小芯片安全标准领域，安全协议数据模型 (SPDM) 等方法可以跨小芯片对小芯片进行相互认证。

“一旦 SPDM 运行，有些协议可以利用你现在已经获得经过身份验证的连接这一事实来设置加密链接来解决其他方面的问题，因为由小芯片制成的集成部件位于板载芯片和芯片之间。单芯片解决方案中的完全集成 SoC，”Borza 解释道。“它们比 SoC 更容易受到物理探测攻击，但它们不如板上芯片那么脆弱。但是这个漏洞仍然存在，因为探测小芯片到小芯片的链接比探测芯片本身上的某些东西要容易得多。这无论如何都不简单，但它更容易。我看到这种动摇的方式是，我们实际上将能够从正在完成的其他一些工作中受益，而且我们不会免费获得它。拥有以低延迟运行且完全加密的高带宽链接非常昂贵，但这是可能的。我们现在正在用 CXL 做这件事，我们将能够用小芯片沿着这条路前进。”

—END—